Übersicht über Microsoft Defender Application Guard

Gilt für

  • Windows 10
  • Windows 11

Microsoft Defender Application Guard (Application Guard) wurde entwickelt, um alte und neu entstehende Angriffe zu verhindern, um die Produktivität der Mitarbeiter zu steigern. Mit unserem einzigartigen Ansatz zur Hardwareisolation ist es unser Ziel, das Playbook zu zerstören, das Angreifer verwenden, indem sie die aktuellen Angriffsmethoden veraltet machen.

Was ist Application Guard, und wie funktioniert es?

Für Microsoft Edge hilft Application Guard, unternehmensdefinierte, nicht vertrauenswürdige Websites zu isolieren und Ihr Unternehmen zu schützen, während Ihre Mitarbeiter im Internet surfen. Als Unternehmensadministrator definieren Sie, was zu den vertrauenswürdigen Websites, Cloud-Ressourcen und internen Netzwerken gehört. Alles, was nicht in Ihrer Liste enthalten ist, wird als nicht vertrauenswürdig eingestuft. Wenn ein Mitarbeiter über Microsoft Edge oder Internet Explorer zu einer nicht vertrauenswürdigen Website wechselt, öffnet Microsoft Edge die Website in einem isolierten Hyper-V-fähigen Container.

Für Microsoft Office verhindert Application Guard, dass nicht vertrauenswürdige Word-, PowerPoint- und Excel-Dateien auf vertrauenswürdige Ressourcen zugreifen. Application Guard öffnet nicht vertrauenswürdige Dateien in einem isolierten Hyper-V-fähigen Container. Der isolierte Hyper-V-Container ist vom Hostbetriebssystem getrennt. Diese Containerisolation bedeutet, dass, wenn sich die nicht vertrauenswürdige Website oder Datei als bösartig herausstellt, das Hostgerät geschützt ist und der Angreifer nicht zu Ihren Unternehmensdaten gelangen kann. Beispielsweise wird der isolierte Container durch diesen Ansatz anonym. Demzufolge kann der Angreifer nicht auf die Unternehmensanmeldeinformationen Ihres Mitarbeiters zugreifen.

Diagramm zur Hardwareisolation.

Für welche Gerätetypen sollte Application Guard verwendet werden?

Application Guard wurde für verschiedene Gerätetypen erstellt:

  • Enterprise Desktops. Diese Desktopcomputer sind mit der Domäne verbunden und werden durch Ihre Organisation verwaltet. Die Konfigurationsverwaltung erfolgt in erster Linie über Microsoft Endpoint Manager oder Microsoft Intune. Mitarbeiter verfügen für gewöhnlich über Berechtigungen vom Typ „Standardbenutzer“ und verwenden ein LAN-Unternehmensnetzwerk mit hoher Bandbreite.

  • Enterprise mobile Laptops. Diese Laptops sind mit der Domäne verbunden und werden durch Ihre Organisation verwaltet. Die Konfigurationsverwaltung erfolgt in erster Linie über Microsoft Endpoint Manager oder Microsoft Intune. Mitarbeiter verfügen für gewöhnlich über Berechtigungen vom Typ „Standardbenutzer“ und verwenden ein WLAN-Unternehmensnetzwerk mit hoher Bandbreite.

  • Bring your own device (BYOD) mobile laptops. Diese persönlichen Laptops sind keiner Domäne beigetreten, werden jedoch von Ihrer Organisation über Tools wie Microsoft Intune verwaltet. Der Mitarbeiter ist für gewöhnlich ein Administrator des Geräts und verwendet während der Arbeit ein WLAN-Unternehmensnetzwerk mit hoher Bandbreite und zu Hause ein vergleichbares persönliches Netzwerk.

  • Persönliche Geräte. Diese persönlichen Desktops oder mobilen Laptops sind keiner Domäne beigetreten oder werden von einer Organisation verwaltet. Der Benutzer ist ein Administrator auf dem Gerät und verwendet zu Hause ein drahtloses drahtlos persönliches Netzwerk mit hoher Bandbreite oder ein vergleichbares öffentliches Netzwerk außerhalb.

Verwandte Artikel

Artikel Beschreibung
Systemanforderungen für Microsoft Defender Application Guard Gibt die erforderlichen Komponenten für die Installation und Verwendung von Application Guard an.
Vorbereiten und Installieren von Microsoft Defender Application Guard Enthält Anweisungen zum Bestimmen des zu verwendenden Modus, entweder eigenständig oder unternehmensverwaltet, und Informationen zum Installieren von Application Guard in Ihrer Organisation.
Konfigurieren der Gruppenrichtlinieneinstellungen für Microsoft Defender Application Guard Enthält Informationen über die verfügbaren Gruppenrichtlinien- und MDM-Einstellungen.
Testen von Szenarien mit Microsoft Defender Application Guard in Ihrem Unternehmen oder Ihrer Organisation Enthält eine Liste der vorgeschlagenen Testszenarien, die Sie zum Testen von Application Guard in Ihrer Organisation verwenden können.
Microsoft Defender Application Guard Erweiterung für Webbrowser Beschreibt die Application Guard-Erweiterung für Chrome und Firefox, einschließlich bekannter Probleme, und eine Anleitung zur Problembehandlung
Microsoft Defender Application Guard für Microsoft Office Beschreibt Application Guard für Microsoft Office, einschließlich der Mindesthardwareanforderungen, konfiguration und eines Handbuchs zur Problembehandlung
Häufig gestellte Fragen – Microsoft Defender Application Guard Enthält Antworten auf häufig gestellte Fragen zu Application Guard-Features, zur Integration in das Windows Betriebssystem und zur allgemeinen Konfiguration.
Verwenden Sie eine Netzwerkgrenze, um vertrauenswürdige Websites auf Windows Geräten in Microsoft Intune Netzwerkbegrenzung, ein Feature, das Ihnen hilft, Ihre Umgebung vor Websites zu schützen, denen Ihre Organisation nicht vertraut.